La gente se está volviendo loca por los informes sobre el uso de la herramienta de vigilancia Pegasus de NSO Group para espiar a periodistas, disidentes políticos y otros opositores a regímenes en todo el mundo. Es desalentador y vale la pena discutirlo. Pero, ¿por qué nos sorprendemos?
Soy un realista de la seguridad de la información. Con cosas de grandes ligas como la vigilancia del estado-nación, eso significa analizar los incentivos del estado-nación. En otras palabras, estoy aplicando la teoría de juegos (ciertamente de forma amateur). En el caso de Pegasus, la teoría del juego es clara: alguna compañía estaba obligada a desarrollar un software de vigilancia, algún gobierno sin escrúpulos estaba obligado a comprarlo y eventualmente serían atrapados.
Gran parte de los medios que he leído han reflexionado sobre las implicaciones sociales de husmear en los teléfonos inteligentes de personas que la mayoría de nosotros estamos de acuerdo en que no lo merecen. Para mí, ese ejercicio mental es un buen ejercicio. Pero el ejercicio saludable requiere buena forma. Para trabajar todos los grupos musculares, consideremos al creador, al portador y al objetivo de Pegasus.
Tabla de Contenidos
Una bestia mítica criada para la ciberguerra
Pegasus ha sido arrastrado a la luz abrasadora del escrutinio público antes. Independientemente de cuán excepcionalmente capaz NSO le diría que es Pegasus, su clase de software está bien establecida. En 2015, la firma italiana de tecnología de vigilancia Hacking Team, irónicamente, fue pirateada y vio cómo su código fuente se filtró en línea para que todo el mundo lo bifurcara. Un año antes de eso, también se descartó el código fuente de FinFisher de Gamma.
Una mirada a la boca de este caballo volador revela que puede hacer todo lo que un gobierno que vigila las «amenazas» podría esperar. Pegasus puede capturar fotos, mensajes, grabaciones de audio y video, listas de contactos y contraseñas de dispositivos infectados. Se instala en los dispositivos a través de un mensaje de texto con un enlace de carga útil. Sin embargo, el verdadero truco es que es posible que el usuario ni siquiera lo vea, porque puede esquivar la bandeja de notificaciones y la aplicación de SMS.
Probablemente puedas adivinar por qué existe este software. Es imposible encontrar una agencia gubernamental que no se beneficie de hurgar en los teléfonos de sus objetivos para detectar amenazas a la seguridad nacional. Sin embargo, no todas las naciones pueden desarrollar herramientas de espionaje internas. Ingrese Grupo NSO y amigos.
El problema es que no todos los países definen «amenaza» razonablemente. Incluso los regímenes tiránicos necesitan proteger a sus ciudadanos, simplemente están más interesados en protegerse a sí mismos.
NSO claramente previó la mala publicidad que sufriría si un hombre fuerte enfermaba con sus productos a los manifestantes pacíficos. Para evitarlo, NSO jura que no vende a gobiernos opresores. Amnistía Internacional afirma tener una lista de 50.000 números de teléfono dirigidos a Pegasus que prueban que NSO lo hace.
Esto ciertamente podría ser cierto, pero ninguna de las partes ha presentado evidencia para probar definitivamente su caso. Por un lado, ¿cómo podemos estar seguros de que los regímenes en la lista de prohibición de NSO adquirieron el software legalmente (es decir, lo compraron)? La piratería o la ingeniería inversa de las herramientas es ciertamente posible. ¿Es posible que alguien de la empresa haya sacado copias a escondidas y las haya vendido ilegalmente?
Que supuestamente se obtuvo una lista de 50,000 números sugiere que NSO no es hermético. Actualmente no está claro cómo se compiló la lista de Amnistía. La organización podría estar encubriendo al denunciante o hacker que arrebató la lista, pero no podemos asumir esta lógica.
Una teoría es que cada módulo de comando de Pegasus pasa su lista de objetivos a NSO, y que alguien simplemente filtró o robó la lista de objetivos compuesta de NSO. NSO tiene todas las razones para diseñar Pegasus para hacerlo.
- Permitiría la aplicación de su prohibición gubernamental represiva. ¿De qué otra forma se aseguraría de que su software no se dirija a las personas equivocadas sino viendo los objetivos? El tono de Amnistía implica que a NSO no le importa sinceramente, pero es difícil argumentar que NSO podría incluso hacer cualquier diligencia debida sin esa funcionalidad.
- Si los documentos de Snowden nos enseñaron algo, es que los poderes de inteligencia más capaces del siglo XXI son los que aprovechan sus sectores privados nacionales. La NSA robó y coaccionó legalmente a empresas estadounidenses con alcance global para obtener sus datos.
- ¿Por qué alguien debería pensar que Israel, con uno de los aparatos de defensa e inteligencia más agresivos del mundo, no haría lo mismo? La inteligencia israelí se beneficiaría enormemente del tesoro de NSO. O NSO ya recibió estos datos y la inteligencia israelí los solicitó o los robó, o la inteligencia israelí había insertado un código que los recopiló.
La afirmación de NSO de que “no tiene conocimiento” de los detalles de las operaciones de monitoreo de clientes complica esta teoría, contradiciendo la idea de que NSO controla a los clientes en absoluto.
Sin embargo, otra lección de Snowed ilustró que al mundo de la inteligencia le encantan los juegos de palabras que le permiten hacer afirmaciones que son técnicamente ciertas a la luz de redefiniciones internas y torturadas de términos comunes.
Por ejemplo, la NSA afirma que no «recopila» datos sobre los estadounidenses simplemente barriéndolos porque, en la jerga de la NSA, «recolectar» significa que un analista humano de la NSA revisa los datos. ¿Por qué un proveedor de productos de vigilancia privada no haría lo mismo?
Los sospechosos cibernéticos habituales
Como todos los productos, las herramientas como Pegasus existen porque tienen compradores. Específicamente, Pegasus es lo suficientemente robusto como para proporcionar capacidades de inteligencia nacional respetables a clientes con presupuestos hegemónicos subregionales. Las naciones que no pueden igualar los recursos de Estados Unidos o China todavía quieren correr con los perros grandes bajo vigilancia.
Como se mencionó anteriormente, los regímenes menos que democráticos también tienen ciudadanos que proteger. No hay nada falso en esa observación, por lo que los gobiernos se apoyan en ella para dar a sus actividades un aire de legitimidad.
¿Qué proveedor de vigilancia emprendedor diría que no a eso? Los proveedores de tecnología de vigilancia no son expertos en geopolítica, por lo que lo que podría parecer una facción política común y corriente para los observadores externos podría ser una amenaza existencial para una nación, o viceversa; y, por supuesto, los compradores de armas que albergan intenciones maliciosas normalmente no lo anuncian.
Es un negocio complicado porque la vara de medir tradicional de «venderle a este cliente infringe la ley» se vuelve turbia cuando los gobiernos son los clientes, como el juez Dredd, ellos son la ley.
Los estados autoritarios imponen definiciones más permisivas de lo que constituye una amenaza a la seguridad que los estados democráticos.
Muchas empresas tecnológicas estadounidenses no operan en China porque se niegan a colaborar con las solicitudes del gobierno chino de sus datos, a pesar de su total legalidad según la ley china. Esto no se debe a que las empresas estadounidenses no quieran ayudar a los ciudadanos chinos a mantenerse a salvo de ataques violentos, sino a que el gobierno chino clasifica a cualquier crítico abierto del gobierno como una amenaza para la seguridad.
Una vez que un país de dudoso compromiso con los derechos humanos obtiene su software de espionaje, el espectro de radio es el límite. Probablemente comenzarán investigando a los malos domésticos, como prometieron. Pero eventualmente, querrán entrenar sus miras en el extranjero como todos los demás.
Tal ha sido la esencia del espionaje a lo largo de la historia: ver qué está haciendo el otro tipo, bueno o malo, para superarlo. Tradicionalmente, cualquier extranjero con poder político o financiero es un objetivo de inteligencia válido.
El hecho de que Macron figurara en la lista de Amnistía sugiere que las herramientas de NSO se utilizaron para la inteligencia de señales extranjeras. Es, digamos, extremadamente improbable que Francia espiara a Macron. Sin embargo, otros países definitivamente estarían interesados en saber qué está haciendo el líder de una nación occidental moderadamente poderosa.
¿Se detendría ante los delincuentes violentos domésticos si pudiera espiar a cualquiera, en cualquier lugar?
A medida que las naciones mueven cada vez más sus infraestructuras críticas de comunicación, comerciales y civiles en línea, esta coyuntura era inevitable. La economía de la tecnología digital simplemente aceleró esta inevitabilidad.
Pegasus marca el punto inequívoco en el que los proveedores de vigilancia privada permiten que las naciones espíen que de otro modo no podrían. Es un ejemplo perfecto de una dinámica distinta de seguridad de la información que Bruce Schneier ilustra en su último libro, «Haga clic aquí para matar a todos».
Para adaptar su ejemplo, si un país tiene un espía de élite que puede extraer inteligencia de cualquier lugar, esa persona solo puede espiar un país a la vez y no puede transmitir rápidamente sus habilidades a otros. Pero los exploits de software pueden empaquetarse en una herramienta de espionaje y distribuirse a cualquier persona, y luego implementarse contra los objetivos de cada usuario al mismo tiempo.
Al principio, solo las naciones militarmente sofisticadas podían desarrollar capacidades de vigilancia digital. Ahora, un hacker motivado puede destilar su oficio en herramientas de apuntar y disparar, brindando a cualquier nación que lo use una vigilancia de primer nivel por una fracción del costo. Estas realidades económicas se han estado desarrollando de manera constante; solo ahora nos estamos dando cuenta.
Ningún Convenio de Ginebra en el Ciberespacio
El hecho de que estas duras realidades sean racionales no las hace más blandas para nadie. El escrutinio de las consecuencias del omnipresente software similar a Pegasus muestra un mundo que es menos impactante de lo que los consumidores ocasionales de noticias podrían pensar.
Algunos artículos de análisis de Pegasus que he leído estiman que los lectores están ansiosos por reforzar su seguridad, ya que concluyeron dispensando «mejores prácticas» como establecer contraseñas únicas de alta entropía, usar aplicaciones de mensajería encriptada y evitar enlaces sospechosos. Desafortunadamente, estos pasan por alto la capacidad declarada anteriormente de Pegasus de comprometer los sistemas operativos con parches completos sin la interacción del usuario.
Más importante aún, como he señalado en el pasado, la mayoría de los usuarios nunca se verán afectados por Pegasus, por lo que preocuparse es una pérdida de tiempo.
Según el modelo de precios de NSO, Pegasus no se adapta bien a la vigilancia masiva. A decenas de miles de dólares por objetivo, sería exorbitantemente costoso vigilar una población de millones, pero asequible para rastrear una lista de objetivos de alta prioridad de unos pocos cientos. Si te ajustas y te sometes (la mayoría de la gente lo hace), estarás bien.
La otra razón por la que creo que estamos viendo informes explosivos es que comprometer un dispositivo es más llamativo que mirar pasivamente la red troncal de Internet o los conmutadores de telecomunicaciones.
Las agencias de inteligencia de todo el mundo han pasado de recopilar datos en tránsito a recopilar datos en reposo, ya que la adopción del cifrado ha hecho que el primero sea menos fructífero. Rastrear paquetes en el aire o por cable ha sido tradicionalmente la primera opción para las agencias de inteligencia solo porque era la más fácil. Las agencias de inteligencia históricamente también se dirigieron a los dispositivos, pero generalmente solo para sus objetivos principales.
Pero ahora que tanto tráfico está encriptado, tiene más sentido centrarse en sus terminales. Todos los datos de esos chats cifrados de extremo a extremo se encuentran en los dispositivos del remitente y el destinatario, descifrados mientras el dispositivo está funcionando y listos para tomar. Hay una razón por la que se llama cifrado «extremo a extremo» y no «extremo a extremo».
¿Dar una oportunidad a la paz cibernética?
Mi objetivo aquí no es dejar de preocuparme y amar la bomba digital, sino preocuparme productivamente. NSO probablemente debería elegir a sus clientes con más cuidado, pero no podemos contar con eso. Sea demasiado aprensivo acerca de quién lee los correos electrónicos y los clientes se llevarán su negocio a otra parte.
¿Qué vamos a hacer los plebeyos? Menos de lo que nos gustaría, pero no nada. Si esto nos enseña algo, es que debemos entender los límites de nuestros dispositivos. Las aplicaciones de mensajería encriptada protegen los datos que atraviesan Internet, pero eso no es a lo que apuntan las sofisticadas herramientas de espionaje. Hay excepciones como las mantarrayas, pero es posible que haya notado que los titulares de mantarrayas no son muy comunes en estos días.
Su teléfono no merece su confianza para las cosas realmente delicadas. Por ejemplo, ningún profesional de seguridad de la información que conozca realice operaciones bancarias en su teléfono, y yo tampoco.
Si cree que la NSO de espionaje permite que sus clientes hagan algo no es bueno, no es suficiente para los jugadores de tarjeta roja: las reglas del juego deben cambiar. Nuevamente, cierre NSO y los compradores encontrarán nuevos vendedores. Si bien Internet cruza fronteras, las leyes no pueden hacerlo. Los proveedores de vigilancia se instalarán donde sea que el negocio sea legal.
Para tomar otra página (literal) de «Haga clic aquí para matar a todos», las actitudes hacia la investigación y divulgación de vulnerabilidades deben cambiar. Si los gobiernos revelaran vulnerabilidades en lugar de acumularlas, podrían repararse, impidiendo que todos las usen (o abusen de ellas); y si las leyes protegieran a los investigadores de buena fe, tendríamos a los sabuesos olfateando los agujeros de seguridad.
Hasta entonces, siempre que haya dinero para ganar y los poderes que lo regulan puedan obtener alguna recompensa, una entidad venderá herramientas de vigilancia, otra comprará y una tercera dejará que suceda.
Las opiniones expresadas en este artículo son las del autor y no reflejan necesariamente los puntos de vista de ECT News Network.
